نفوذ هکرها به وردپرس از طریق SEO

به گزارش پایداری ملی، هفته گذشته Sucuri، یک روش جدید از قرار دادن اسپم SEO در وب‌سایت‌‌های وردپرس هک‌شده با استفاده از پرونده /wp-includes/load.php نشان داد که یکی از پرونده‌های هسته وردپرس است. کلاهبرداران سعی می‌کنند همه‌چیز را به‌صورت غیرقابل تشخیص انجام دهند.

وب‌سایت‌های وردپرس ناامن اطراف ما به لطف دارا بودن سهم بزرگی از بازار سامانه مدیریت محتوا (CMS) با تمام محصولات دیگر مقایسه شده‌است. کلاهبرداران، تعداد زیاد وب‌سایت‌های ناامن را برای هک نصب وردپرس یا از طریق افزونه‌های به‌روزرسانی نشده، قالب‌های آسیب‌پذیر و یا از طریق کلمه عبور ضعیف مدیریتی وسیله نفوذ خود قرار می‌دهند. 

پس از هک هدف خود، کلاهبرداران تمایل به استفاده از این وب‌سایت‌‌ها به‌عنوان بات در حملات منع سرویس توزیع‌شده به‌عنوان کارگزار فرماندهی و کنترل برای عملیات‌ و جرائم سایبری، وب‌سایت‌های بارگیری بدافزار برای میزبانی تبلیغ‌افزار یا ربودن نتایج جستجوگرها دارند. 

مهاجمان، وب‌سایت‌های هک شده را مجبور به بارگذاری محتوایی می‌کند که به‌طور پیش‌فرض برای کاربر انسانی پنهان اما برای موتور جستجو مشخص است. 

این وب‌سایت‌های هک شده موجود، متون مختلفی به‌تناسب کاربران معمولی برای جستجوی بات‌ها دارند. معمولاً موضوعات، توضیحات کاملاً متفاوتی دارند و به وب‌سایت‌های دیگر پیوند می‌دهند که کلاهبرداران برای افزایش رتبه‌بندی موتور جست وجو نیاز دارند. 

این اتفاق به ضرر وب‌سایت هک‌شده است که در حال حاضر ترافیک خود را از دست می‌دهد و شرح عمومی خود را در گوگل، بینگ و یا وب‌سایت‌های دیگر تغییر می‌دهد. 

در یک مورد از بررسی Sucuri، تحلیلگران این شرکت یک پرتال موفق کسب‌و‌کار کشف کردند که محتوای مستهجن را در توضیحات نتایج جست‌وجوی گوگل نشان می‌دهد. 

با توجه عمیق به این نوع آلودگی، Sucuri کشف کرد که کلاهبرداران تنها با بارگذاری یک پرونده جاوا اسکریپت یا PHP ساده در فوتر وب‌سایت راضی نمی‌شوند و در واقع به تغییر پرونده‌های اصلی وردپرس دست می‌زنند، جایی‌که تعداد بسیار کمی از مدیران وب‌سایت تمایل به دیدن آن دارند. 

کلاهبرداران پرونده‌های اصلی وردپرس را برای انجام تمام کارهای تبهکارانه ربودند. این هکرها پرونده‌ /wp-includes/load.php را ویرایش کرده و یک پرونده اصلی وردپرس که برای هر بازدیدکننده وب‌سایت و بارگیری پرونده‌های دیگر اجرا شده‌است با اجزای وب‌سایت نهایی کنار هم قرار می‌دهند. 

محقق Sucuri تصمیم کلاهبرداران برای تغییر این پرونده خاص را توضیح می‌دهد: «مهاجم امیدوار است که شما بر روی پرونده‌های اصلی (یعنی header.php، footer.php) و پرونده‌هایی که در اساس وردپرس نصب شده‌اند (یعنی index.php، wp-load.php) تمرکز کنید.» 

مهاجمان پرونده /wp-includes/load.php را برای بارگیری پرونده دیگر /wp-admin/includes/class-wp-text.php ویرایش می‌کنند که هرگز نباید در نصب معمول وردپرس وجود داشته‌باشد، اما کلاهبرداران، آن را در میان دیگر پرونده‌های اصلی وردپرس  مخفی می‌کنند. 

این به نوبه خود، تمام مطالب اسپم SEO را بارگیری می‌کند، اما فقط برای موتور جست‌وجوی گوگل، خروجی وب‌گاه مانند حالت عادی است که برای کاربر نشان داده می‌شود. 

محققان به دیگر مدیران وب‌گاه‌ها توصیه می‌کند که حسابرسی پرونده‌های وب‌سایت خود به‌صورت دستی برای تغییرات می‌تواند بسیار جامع باشد و به همین دلیل نظارت بر روی پرونده‌های اصلی وب‌سایت را در نظر داشته باشند. این سامانه درباره ایجاد  (./wp-admin/includes/class-wp-text.php) و ویرایش (./wp-includes/load.php) یک پرونده جدید هشدار می‌دهد. به جای رفتن بین بیش از هزار پرونده وردپرس به صورت دستی، شما  ویرایش‌شده‌ها را از قبل می‌شناسید، بنابراین می‌توانید کار مقابله را از آن پرونده شروع کنید.